ПРОГРАММНАЯ РЕАЛИЗАЦИЯ ЛАБОРАТОРНОГО СТЕНДА

Алгоритм работы и общая структура лабораторного стенда

Описание интерфейса программы

Сигнатуры атак

TCP-сканирование (SYN)

Процесс установления соединения по протоколу TCP осуществляется в 3 шага:

- «А» отправляет «Б» TCP-пакет с установленным флагом SYN и начальным «случайным» номером (seq 333634780):

10:29:00.303502 IP 192.168.1.2.38944 > 192.168.1.5.443: S, cksum 0x8636 (correct), 333634780:333634780(0) win 1024 <mss 1460>

- «Б» отвечает «А» TCP-сегментом с установленными флагами SYN и ACK, начальным «случайным» номером (274325955), с которого будут нумероваться байты в отправляемом им потоке. Данный пакет является подтверждением получения запроса на установление соединения для абонента «А»:

10:29:01.298002 IP 192.168.1. 5.443 > 192.168.1. 2.38944: S, cksum 0x8516 (correct), 274325955:274325955(0) ack 333634781 win 1024 <mss 1460>

- «А» отправляет «Б» TCP-сегмент с флагом ACK, что является подтверждением получения сегмента от абонента «Б»:

10:29:01.558163 IP 192.168.1.2.38944 > 192.168.1.5.443: ., cksum 0x950c (correct), ack 1 win 270

Соединение считается установленным при выполнении данных шагов.

Порт считается просканированным, если запрос на соединение пришёл, но оно так и не было установлено, т.е. присутствуют только первый шаг или первые два. Однако заключение о сканировании портов персонального компьютера происходит только при условии обнаружении следов сканирования 20 портов в течение 60 секунд.

Диапазон номеров портов составляет от 0 до 65535. Все порты разделены на три диапазона – общеизвестные (или системные, номера от 0 до 1023), зарегистрированные (пользовательские, от 1024 до 49151) и динамические (частные, от 49152 до 65535). Учитывая данный диапазон, при скорости обнаружения сканирования, равной 1 порт в 3 сек, злоумышленнику придется анализировать 100 портов течение более 300 секунд (пяти минут), что является неприемлемым, с точки зрения времени.

Предложенный алгоритм способен обнаружить только SYN-сканирование. SYN является популярным типом сканирования, так как способен сканировать до тысячи портов в секунду, к тому же его работе не препятствуют межсетевые экраны. Данный тип сканирования относительно незаметен, потому что TCP-соединение не устанавливается до конца при данном типе сканирования. Достоинством SYN-сканирования является его возможность предоставления достоверной дифференциации между состояниями портов – «открыт», «закрыт» и «фильтруется»:

- Если в ответе с установлены флаги SYN и ACK, то порт прослушивается (является открытым);

- ответ с установленным флагом RST (сброс) – порт не прослушивается (закрыт);

- порт помечается в качестве фильтруемого, если после нескольких запросов не приходит никакого ответа или в ответ на запрос приходит ICMP-сообщение «ошибка недостижимости».

При выборочном сканировании небольших групп портов (в данном случае, менее 20) или одиночном сканировании (например, если злоумышленнику необходимо узнать состояние порта № 137), данный алгоритм беспомощен.

Алгоритм обнаружения сканирования портов:

ICMP-flood

DoS-атаки (Denial of Service, «отказ в обслуживании») – это атаки, приводящие к парализации работы сервера или персональной ЭВМ вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс. Если подобная атака проводится одновременно сразу с большого числа компьютеров, то говорят о DDoS-атаке (распределенной атаке типа «отказ в обслуживании»).

Осуществить атаку «отказ в обслуживании» можно двумя способами:

- Можно использовать уязвимость программного обеспечения, которое установлено на компьютере-жертве. Такая уязвимость способна вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

- Каждый полученный пакет требует определенных затрат ресурсов компьютера на его обработку, поэтому DoS-атаку можно осуществить при одновременной отсылки большого количества пакетов на компьютер-жертву.

ICMP – протокол обмена сообщениями стека TCP/IP, предназначен для обнаружения ошибок и передачи информации о них. При обнаружении проблем в сети генерируются ICMP-сообщения того или иного типа, в которых указывается код ошибки. Данные сообщения передаются отправителю исходного пакета. Протокол используется утилитами ping и traceroute.

Атаку ICMP-flood считают одной из наиболее распространенных видов. Представляет собой метод забивания полосы пропускания и создания нагрузок на сетевой стек через монотонную посылку запросов ICMP ECHO (ping), ICMP-запросы имеют более высокий приоритет по сравнению с обычными пакетами. Способ защиты от данной атаки основан на отключении ответов на запросы ICMP ECHO.

Пример работы протокола. Утилита ping, запущенная на компьютере «А», посылает ICMP-пакет типа ECHO REQUEST компьютеру «Б». «Б» отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты посылаются через определенные промежутки времени, практически не нагружая сеть:

21:33:47.454210 IP 192.168.1.2 > 192.168.1.3: ICMP echo request, id 1, seq 9, length 40

21:33:47.454618 IP 192.168.1.3 > 192.168.1.2: ICMP echo reply, id 1, seq 9, length 40

21:33:48.454548 IP 192.168.1.10 > 192.168.1.3: ICMP echo request, id 1, seq 10, length 40

21:33:48.454662 IP 192.168.1.3 > 192.168.1.10: ICMP echo reply, id 1, seq 10, length 40

Частота отправки утилитой ping ECHO-запросов по умолчанию составляет 1 пакет в секунду (на основе данных анализатора трафика WinDump). Учитывая то, что лабораторный стенд разрабатывался для учебных целей, примерно рассчитаем величину количества ECHO-запросов, посылаемых в локальной сети одной учебной аудитории, при превышении которой может говорить об атаке.

Количество персональных компьютеров аудитории, объединенных в одну локальную сеть, для расчета примем равную одиннадцати: 1 компьютер будет принимать ICMP-сообщения, оставшиеся 10 компьютеров будут их посылать. В таблице 1 приведен расчет вероятностей одновременной посылки ECHO-запросов несколькими компьютерами на один IP-адрес.

Расчет осуществляется с помощью формулы, определяющей число сочетаний из n элементов по m: .

Таблица 1 - Расчет вероятности одновременного отправления ICMP-сообщений

Количество компьютеров, не посылающих ECHO-запросов	Количество компьютеров, посылающих ECHO-запросов	Число сочетаний,	Вероятность одновременного отправления ECHO-запросов
			0,000977
			0,009766
			0,043945
			0,117188
			0,205078
			0,246094
			0,205078
			0,117188
			0,043945
			0,009766
			0,000977
Итого:

Математическое ожидание количества получения ICMP-сообщения в один момент времени составляет:

Математическое ожидание составляет 5 ECHO-запросов. В дальнейших вычислениях будем исходить из того, что без ущерба для производительности, компьютер может обрабатывать 5 ECHO-запросов в секунду, учитывая частоту отправления. По умолчанию утилита ping отправляет 4 ICMP-сообщения. Каждому компьютеру потребуется 4 секунды для отправки 4 ICMP-сообщений. Значит, в итоге компьютеру будет послано 20 ECHO-запросов.

Сохранив пропорцию «не более 5 пакетов в секунду», за атаку ICMP-flood примем получение компьютером более 50 пакетов в 10 секунд. Интервал в 10 секунд позволит существенно сократить возможность ложного срабатывания, т.к. в одну секунду может прийти 10 пакетов, а в другую – ни одного.

SMURF-атака

Атака SMURF являются разновидностью атаки DDoS, так как имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ.

Принцип реализации атаки.

Атакующий компьютер посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника запроса заменяется адресом жертвы. Так как пакет ЕСНО послан по широковещательному адресу, все системы данной сети должны ответить компьютеру-жертве (если только конфигурация не определяет другого поведения). Послав одно IСМР-сообщение в сеть из 100 систем, атакующий обеспечивает усиление атаки DDoS примерно в сто раз. Так как коэффициент усиления зависит от состава сети, атакующему необходимо найти большую сеть, способную полностью подавить работу системы-жертвы.

Обнаружение SMURF-атаки.

Сообщение IСМР ЕСНО REPLY:

21:33:47.454618 IP 192.168.1.3 > 192.168.1.2: ICMP echo reply, id 1, seq 9, length 40

Данное сообщение приходит только в качестве ответа на запрос вида:

21:33:47.454210 IP 192.168.1.2 > 192.168.1.3: ICMP echo request, id 1, seq 9, length 40

Сообщению IСМР ЕСНО REPLY всегда должно предшествовать сообщение IСМР ЕСНО REQUEST с одинаковыми номерами последовательности (параметром seq). Однако существует вероятность того, что сообщения IСМР ЕСНО REQUEST были отправлены, но не были пойманы анализатором трафика (сниффер запустили после отправки данных запросов), поэтому определенное количество запросов ЕСНО REPLY без запросов ЕСНО REQUEST всё-таки возможно обнаружить. Одним широковещательным IСМР-сообщением в сети реализовать SMURF-атаку не получится, значит, таких сообщений должно быть довольно много. Локальная сеть, в которой будет использоваться лабораторной стенд, состоит из 11 компьютеров. Приняв в качестве нормы вероятность потери 1 IСМР-запроса, получаем, что при посылке одного широковещательного запроса, на него откликнутся 10 компьютеров сети. Таким образом, при обнаружении 11 сообщений IСМР ЕСНО REQUEST без предшествующих на них запросов, можно говорить об атаке.

LAND-атака

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых операционных системах. На сегодня такой уязвимости подвержены все версии ОС Windows NT/95.

Принцип атаки заключается в том, что на открытый порт компьютера-жертвы передаётся TCP-пакет с установленным флагом SYN, исходный адрес и порт данного пакета соответственно равны адресу и порту атакуемого компьютера. Загрузка процессора сильно возрастает в результате того, что компьютер-жертва пытается установить соединение сам с собой, может произойти «зависание» системы или ее перезагрузка.

Обнаружение атаки заключается в поиске пакета с флагом SYN и одинаковыми сокетами (совокупность порта и IP-адреса) отправителя и получателя.

Атака на сервисы Windows

Атака осуществляется путем отправки большого количества пакетов в единицу времени на компьютер-жертву. Как правило, выбираются порты, использующиеся протоколом NetBIOS. NetBIOS является протоколом для работы в локальных сетях и представляет из себя интерфейс сеансового уровня. Он обеспечивает выполнение сетевых операций ввода/вывода, а так же управляет транспортным протоколом, в качестве которого могут выступать либо TCP, либо UDP протоколы. По умолчанию порты протокола NetBIOS открыты, поэтому приложения могут через NETBIOS найти необходимые им ресурсы и установить связь, а так же послать или получить информацию.

Порты данного протокола:

- порт № 137 – используется для службы имен;

- порт № 138 – используется для службы дейтограмм;

- порт № 139 – используется для сессий;

Уязвимыми можно считать и порты № 135, 445. Порт 135 используется для удаленного управления служб, включая DNS-сервер, в то время как 445 используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Порт № 445 способен предоставить также доступ к жесткому диску персонального компьютера.

Лабораторный стенд сообщает об атаке при интенсивности поступления пакетов на данные порты более чем 1000 в секунду. Такая интенсивность может свидетельствовать о наличии DoS- или DDos-атаке.